Kaspersky ha individuato come funziona FunkSec, un gruppo ransomware potenziato dall’AI generativa, che alle abilità multifunzionali coniuga la capacità di adattarsi in grado di agire su larga scala.

In grado di massimizzare i profitti, adotta modello ad alta frequenza e
low-cost: chiede riscatti bassi (che partono da 10 mila dollari), ma li associa alla vendita di dati rubati a prezzi scontati a terze parti.

A causa delle sue caratteristiche, “rappresenta una sfida decisamente ardua da affrontare, soprattutto per il tessuto della piccola e media impresa, già in estrema difficoltà nel contrasto alla galassia classica delle minacce”, commenta Enrico Morisi, Ict Security manager.

Ecco come mitigare il rischio.

FunkSec: perché il ransomeware è temibile

Apparso al termine del 2024, FunkSec opera da neanche un anno, ma ha velocemente messo la freccia su molti attori più noti, colpendo bersagli del calibro del settore finanziario, governativo, tecnologico e dell’istruzione sia in Europa che Asia.

A rendere FunkSec temibile è la sua architettura tecnica unita allo sviluppo basato sull’AI generativa. Il ransomware ha infatti abbracciato la crittografia su larga scala e la capacità di trasferire dati in maniera aggressiva in un solo programma eseguibile, basato su Rust, disattivando oltre 50 processi sui Pc delle vittime e sfruttando opzioni di auto-pulizia per l’elusione dele difese.

Il ransomware FunkSec ha inoltre aggiunto altre frecce al suo arco, includendo un generatore di password e uno tool DDoS di base, dotati di sintesi del codice attraverso Large Language Models (LLM).

“L’elevata capacità di adattamento, in termini di Tattiche, Tecniche e Procedure, grazie anche al ricorso all’IA generativa per la realizzazione di strumenti multifunzionali, sempre più sofisticati dal punto di vista architetturale, riducendo le barriere tecnologiche di accesso al cybercrime e puntando a una vera e propria economia di scala, come sempre finalizzata alla massimizzazione dei profitti, rappresenta una sfida decisamente ardua da affrontare”, mette in guardia Enrico Morisi.

Il potenziamento con l’AI

Il meccanismo di FunkSec si basa su password, per il controllo delle procedure operative.

Senza password, il malware sfrutta una crittografia di base dei file. Ma in presenza di una password, è in grado di abilitare un processo molto più evoluto, integrando la crittografia con l’esfiltrazione di dati sensibili.

Combinando crittografia su larga scala, esfiltrazione locale dei dati e autopulizia in un singolo file binario compilato in Rust, senza l’utilizzo di side-loader o script di supporto, FunkSec permette agli affiliati di avvalersi di uno tool plug-and-play,
semplice da distribuire in ogni ambiente.

FunkSec sfrutta l’AI generativa per costruire i propri strumenti. Numerose parti del codice sembrano infatti più frutto di generazione automatica che di scrittura manuale. Secondo Marc Rivero, Lead Security Researcher di Kaspersky GReAT, lo si osserva dai commenti generici di tipo placeholder (come “placeholder for actual check”) ed alcune incongruenze come i comandi per differenti sistemi operativi, non correttamente allineati. Inoltre, moduli aggiunti anticipatamente e mai usati ricordano come gli LLM assemblano parti di codice senza cancellare gli elementi ridondanti.

“Riducendo la soglia d’ingresso, l’IA permette anche agli attaccanti meno esperti di sviluppare rapidamente malware sofisticati su larga scala”, spiega Marc Rivero.

Come proteggersi da FunkSec

Gli attacchi ransomware a livello globale hanno colpito utenti in aumento dello 0,44% dal 2023 al 2024, registrando un balzo in avanti dello 0,02%. Ma oltre a colpire utenti di alto profilo, ora FunkSec coniuga strumenti sofisticati con tattiche avanzate.

Si consiglia di attivare la protezione ransomware per tutti gli endpoint, mantenere i sistemi e software aggiornati (risolvendo le vulnerabilità), oltre a concentrarsi sul rilevamento dei movimenti laterali e dell’esfiltrazione dei dati online. Si raccomanda inoltre di adottare anti-APT e EDR e sfruttare la Threat Intelligence.

“Sono raccomandazioni fondamentali, dai processi di vulnerability management all’attenzione ai lateral movement, alla segmentazione e segregazione delle reti, all’encryption dei dati, al traffico egress e ai backup, all’importanza della Threat Intelligence e di dotarsi di una linea di difesa che sia in grado di reagire in tempi sempre più brevi, difesa che, non dimentichiamolo mai, è rappresentata non solo da servizi essenziali come il SOC (Security Operation Center) ma anche e soprattutto da tutte le persone che, a vario titolo, concorrono al benessere e allo sviluppo di una data organizzazione: ‘Security Culture is king’”, evidenzia Enrico Morisi.

Servono infine protezione in tempo reale, visibilità delle minacce, opzioni di indagine e risposta EDR e XDR.

“Social engineering, furto di credenziali, spesso associato alla diffusione delle botnet, e sfruttamento di vulnerabilità, siano esse zero-day o note anche da molto tempo, si confermano i principali vettori d’attacco, strategie come la Defense in Depth e lo Zero Trust rappresentano sempre le strategie più efficaci per la mitigazione dei rischi associati a un panorama di minacce sempre più sofisticate, diversificate, adattive ed efficaci”, conclude Morisi.